Pressrelease

Av: F-Secure

Allvarliga säkerhetsbrister i F5 BIG-IP kan leda till cyberbrott i stor skala

Publicerad: 12 aug 2019 08:00

Uppdaterad: 12 aug 2019 08:00

Christoffer Jerkeby, säkerhetskonsult vid F-Secure, har identifierat en säkerhetsbrist som kan göra hundratusentals lastbalanserare sårbara för cyberangrepp.

Den 9 augusti 2019, Helsingfors, Finland: Cybersäkerhetsleverantören F-Secure råder organisationer som använder F5 Networks lastbalanserare BIG-IP att åtgärda säkerhetsbrister som uppstår i vanliga konfigurationer av produkten. Bristerna kan resultera i att angripare kan kringgå säkerhetsfunktioner som används i lastbalanserarna för att skydda hemsidor från angrepp. Angripare kan även utnyttja felkonfigurerade lastbalanserare för att angripa interna nätverk och utföra angrepp mot användare av tjänster som hanteras av lastbalanseraren.

Säkerhetsbristen ligger i skriptspråket Tcl som används av iRules i BIG-IP (iRules används för styrning av inkommande webbtrafik). Vanligt förekommande kodstrukturer tillåter angripare att injicera godtyckliga Tcl-kommandon som exekveras i säkerhetskontexten för det utsatta Tcl-skriptet.

Angripare som framgångsrikt utnyttjar sårbara iRules kan använda den angripna BIG-IP-enheten som utgångspunkt för fortsatta attacker mot interna system i organisationen. Detta kan leda till allvarliga dataläckor. Angripare kan också fånga upp och manipulera webbtrafiken och på så sätt avslöja känslig information som autentiseringsuppgifter och programhemligheter. Detta innebär att även användarna av en organisations webbtjänster kan bli föremål för angrepp.

I vissa fall kan ett sårbart system utnyttjas genom att sända ett kommando eller en kodsträng inbäddad i en webbförfrågan som på grund av säkerhetsfelet exekveras av lastbalanseraren. För att göra saken värre finns det fall när den angripna enheten inte registrerar angriparens aktivitet, vilket innebär att det saknas bevis på att en attack har skett. I andra fall kan en angripare radera loggar som innehåller spår av sina aktiviteter efter att hen tagit sig in i systemet, vilket gör det mycket svårt att undersöka incidenten.

—Konfigurationsfrågan är verkligen en allvarlig säkerhetsbrist eftersom den är tillräckligt dold för att en angripare ska kunna göra intrång, utföra vidare angreppshandlingar och dölja sina spår. Dessutom är flera organisationer inte beredda på att hitta eller korrigera brister som ligger djupt nere i distributionskedjan för mjukvara, vilket sammantaget skapar ett stort potentiellt säkerhetsproblem. Om man inte vet vad man ska leta efter är det svårt att förutse detta problem och ännu svårare att hantera en verklig attack, förklarar Christoffer Jerkeby, senior säkerhetskonsult på F-Secure.

I samband med upptäckten identifierade Jerkeby över 300 000 aktiva BIG IP-implementeringar på internet. På grund av begränsningar i identifieringsmetoden antar han att det verkliga antalet kan vara mycket högre. Ungefär 60 procent av de BIG IP-instanser som han upptäckte fanns i USA. 

Säkerhetsproblematiken i Tcl och sårbarhetsklassen är ingen nyhet i sig. De – liksom sårbarheter för kommandoinjektioner i andra populära programspråk – har varit kända sedan länge. Även om alla som använder BIG-IP inte kommer att påverkas, behöver alla organisationer som använder BIG-IP utreda och bedöma sin exponering för angrepp. På grund av lastbalanserarens popularitet inom bankväsendet, offentliga sektorn och stora tjänsteleverantörer innebär säkerhetsbristen att många känsliga organisationer påverkas.

—En organisation som inte har gjort en djupundersökning av denna teknik har med stor sannolikhet infört detta problem. Till och med personer som är insatta i säkerhetsfrågor och som jobbar på företag med mycket resurser kan begå detta misstag. Det är väldigt viktigt att sprida information om denna fråga om vi vill hjälpa organisationer att bättre förebygga eventuella incidenter, säger Jerkeby.

Rekommendationer till organisationer

Säkerhetsproblemet kommer sannolikt attrahera angripare eftersom det är möjligt att göra omfattande webbskanningar för att identifiera och utnyttja sårbara instanser av tekniken, och i vissa fall även automatisera denna process. För att lära sig utnyttja bristen kan angripare använda gratis demoversioner och billiga molninstanser i AWS av F5 BIG-IP. Av denna orsak och på grund av eventuellt allvarliga konsekvenser av attacker som utnyttjar detta säkerhetshål, rekommenderar F-Secure att organisationer proaktivt ska undersöka huruvida de är utsatta eller inte.

Jerkeby har hjälpt till att ta fram gratis verktyg med öppen källkod som organisationer kan använda för att identifiera osäkra konfigurationer i BIG-IP-implementationer. Enligt Jerkeby finns det inga snabba sätt att laga säkerhetshål som dessa, så det är upp till organisationerna att åtgärda problemen.  

—Fördelen med denna typ av säkerhetsproblem är att de inte påverkar alla som använder produkten. Avigsidan är däremot att problemet inte kan åtgärdas till med en patch eller uppdatering av programvaran. Därför är det organisationerna själva som måste undersöka om de hör till de drabbade och åtgärda eventuella problem. Därför är det viktigt att alla som använder BIG-IP är proaktiva i frågan, förklarar Jerkeby.


Läs mer på vår blog.

OM F-SECURE

 F-Secure är ett europeiskt cybersäkerhetsföretag med decenniers erfarenhet av att försvara företag och konsumenter mot allt från opportunistiska infektioner av gisslanprogram till avancerade cyberattacker. Den omfattande uppsättningen tjänster och de prisbelönta produkterna använder F-Secures patenterade säkerhetsinnovationer och sofistikerade hotanalys för att skydda tiotusentals företag och miljontals människor.

F-Secures säkerhetsexperter har deltagit i fler europeiska undersökningar av cyberbrottslighet än något annat företag på marknaden och deras produkter säljs över hela världen av över 200 operatörer och tusentals återförsäljare.

f-secure.com | twitter.com/fsecure | linkedin.com/f-secure